2014年7月11日金曜日

セッションハイジャック攻撃の実例を見つけた

今やっている案件のソースコードは、
それはひどいものです。

でもセッションハイジャック攻撃の可能性を生むような欠陥は想定外でした。

セキュリティに疎い方向けに説明しますと、
ログイン中のユーザーを乗っ取って買い物ができてしまうような欠陥です。

自分はすぐには思い浮かびませんが、
工夫次第では(身元が割れないように)かなり悪用ができるかもしれません。

(もとより漏らす気はないですが、)
これはもううかつに案件の情報を漏らすわけにはいかなくなりました。

これが世間にバレたら、
そのSIerに致命的な致命傷を負わせ、
自分はその賠償請求をされる恐れがあるからです。

ちゃんと欠陥の内容は報告したので、
しっかりと修正されるよう組織が動くことを期待しましょう。

もしもこれを封殺するような動きがあるのなら、
IPA経由で届け出を出すことにしましょう。

関わってしまった責務として、
最低限のことはするように動きます。

…でもSIerのWebサービスはもう使う気が起こらなくなりました。

これからは委託くさいWebサービスは開発会社を見ないと…(溜息)

0 件のコメント:

コメントを投稿